За прошедший год около 60% финансовых компаний стали жертвами атак на свои цепочки поставок. Каждая такая атака приводила к среднему ущербу в размере 3,6 миллиона рублей. В это число включены только непосредственные финансовые потери, а не ущерб репутации или возможные штрафные санкции.
Одна из особенностей атак на цепочку поставок ПО в том, что злоумышленник получает доступ к цели не напрямую, а через вредоносный код, внедренный в продукт или компонент, используемый компанией. Из-за этого проблемы безопасности в цепочке поставок возможны на любом этапе жизненного цикла программного обеспечения и могут быть вызваны разными причинами, начиная от злоумышленного внедрения вредоносного кода сотрудником при разработке и заканчивая компрометацией стороннего поставщика при использовании готовых решений или сервисов.
Главная цель таких атак, как правило, заключается в получении доступа к конфиденциальным сведениям о клиентах, поэтому финансовый сектор больше всего интересен злоумышленникам. После получения доступа к инфраструктуре банка кредитные и дебетовые карты клиентов становятся уязвимыми для кражи денег. Атаки на цепочку поставок также могут нарушить производственные процессы и причинить ущерб репутации компании, поэтому они часто затрагивают такие отрасли, как нефтяная промышленность, розничная торговля и информационные технологии.
Например, один из самых простых видов атаки – намеренное создание репозитория, похожего на оригинальный, но содержащего уязвимый код. Если разработчик опечатается в названии библиотеки, например, напишет «jquerry» вместо «jquery», то система сборки может загрузить уязвимый компонент.
Более сложный вид атаки – попытка подмены внутренней библиотеки путем запутывания системы сборки. Если злоумышленник знает названия внутренних артефактов, он может создать артефакт с таким же названием в публичном репозитории с указанием того, что он является самой последней версией. В этом случае система сборки может считать внешний артефакт новее и использовать его в процессе сборки.
Следует также учесть возможные подмены артефактов через воровство репутации и рейтинга проекта в сообществе разработчиков или полного создания дубликатов удаленного репозитория. Однако этот метод становится все менее актуальным.
«Для эффективного обеспечения безопасности цепочки поставок необходимо использовать комплексный подход, включающий безопасную разработку, управление доступом и сетевую безопасность. Один из ключевых инструментов такого подхода – анализ состава ПО на наличие известных уязвимостей (SCA), а также анализ безопасности цепочки поставок ПО (SCS), который предоставляет дополнительную информацию об артефакте, репозитории и авторе», – говорит Антон Прокофьев, специалист по контролю безопасности ПО в СК «Солар».
Повысить уровень безопасности в цикле DevOps помогут анализ зрелости процессов информационной безопасности у партнеров, а также разработка плана реагирования на случай атаки на цепочку поставок.
